随着物流行业信息化的不断发展,运输管理系统(Transportation Management System,简称TMS)成为物流企业运营的核心工具之一。其中,Andsoft公司开发的电子运输管理软件e-TMS在多个大型物流企业中得到广泛应用,支持运输订单管理、运输组织、跟踪、开票等多项功能。然而,近期安全研究团队在对某客户外部渗透测试过程中,发现e-TMS软件存在多项关键且严重的安全漏洞,涉及未经认证的远程代码执行(RCE)、SQL注入(SQLi)、文件读取漏洞以及反射型跨站脚本攻击(XSS)等,给物流企业的信息安全带来巨大风险。本文将详细解析这些漏洞的发现过程、技术细节及潜在威胁,同时探讨有效的修复与防范措施,以提升物流软件供应链的整体安全态势。外部渗透测试揭露多个关键漏洞在测试过程中,安全研究员偶然发现多个公开暴露的e-TMS实例,涉及版本从v15.12到v25.03,皆受漏洞影响。尤其令人忧虑的是,这些漏洞大多无需身份认证即可利用,使攻击者能够轻松发动攻击。
研究团队统计出多达42个线上实例均存在漏洞,涵盖远程代码执行、SQL注入、文件读取和跨站攻击等类型。基于漏洞类型向国家漏洞数据库(如CVE)提交申报,因多处代码同样出现问题,导致被发放40余个漏洞编号,严重程度涵盖从关键到中等不等。未经认证的远程代码执行漏洞(RCE)最为危险,攻击者可以通过特制的请求直接执行服务器上的系统命令,甚至接管整个服务器。问题根源在于登录页面及其他25个个性化登录表单中,对HTTP请求参数M直接调用了VB Script中的eval函数,未进行任何过滤或校验。eval函数执行的字符串内容完全由用户输入决定,造成了严重代码注入隐患。利用精心构造的payload,攻击者可以执行任意系统命令,并将执行结果直接返回给攻击者,极大提升了攻击效率。
此外,研究团队通过RCE漏洞还实现了目录文件列表和文件内容读取,成功转存了大量源代码及配置文件,为进一步分析和攻击提供便利。SQL注入漏洞(SQLi)同样令人担忧。首先,e-TMS的/CLT/track_request.asp页面存在基于查询参数forgot=1时,表单提交的邮箱地址未经过适当过滤即插入SQL查询,导致攻击者通过构造恶意输入实现基于错误的信息泄露,进而借助自动化工具如sqlmap大规模导出数据库内容。尤其重要的是,数据库中存储的用户登录密码仅采用MD5哈希,缺乏任何复杂的盐值设计,密码极易被破解。第二处SQL注入发生在/inc/connect/CONNECTION.ASP,攻击者通过操纵SessionID Cookie数据实现SQL查询注入,再次暴露数据库敏感信息。文件读取漏洞同样不可忽视。
e-TMS中存在/lib/asp/DOCSAVEASASP.ASP页面,允许传递DOCURL参数读取文件,不需身份验证。攻击者借此轻易获取系统配置文件及包含数据库、Active Directory凭据和API密钥的敏感文件,极大威胁企业系统安全和数据保密。跨站脚本攻击(XSS)漏洞表现为多达数十个针对不同登录页面和功能页面的未过滤参数,允许恶意JavaScript代码在用户浏览器内执行,造成会话劫持、钓鱼攻击和恶意操作。研究人员示范了简单的XSS攻击载荷,说明漏洞仍未被修复。通过SQL注入导出密码显示,密码存储使用MD5哈希,加之历史源码显示,虽然理论支持SHA256,但硬编码仅调用MD5算法,安全性极度不足。漏洞存在的系统版本覆盖较广,部分漏洞在2025年1月已获得补丁解决,但多处中低危漏洞仍未完全修复,且厂商反馈迟缓。
更令人担忧的是安全团队未全面测试认证区域,粗略评估后认为内部漏洞堆积更为严重。基于上述发现,研究团队提出多项安全建议,包含紧急更新至官方发布的修复版本,限制e-TMS系统对互联网的公开访问,尽快清理不再使用的账号,强化密码策略,启用强散列算法替代MD5,以及定期执行安全审计与渗透测试。物流企业在使用e-TMS等关键管理系统时,务必关注其软件供应链的安全管理。软件厂商需加快响应安全报告,透明发布修复措施,将安全思想融入软件生命周期。用户方也应建立多层防护,及时安装补丁,做好访问权限管理。总结来看,e-TMS软件暴露的远程代码执行、SQL注入、文件读取及XSS等漏洞揭示了物流信息系统在安全保障上的不足。
随着物流行业数字化加速落地,安全风险伴随数据价值的上涨愈发凸显。只有强化协作,加快漏洞修复和安全管理,才能有效防御外部攻击,保护企业关键资产和客户信息免遭泄露,保障供应链运转的稳定与安全。未来,煤盾网等安全社区和监管机构也将在推动行业安全标准化方面发挥关键作用,引导企业落实安全责任。综上,针对e-TMS的多重安全隐患不仅是技术问题,更是管理与责任的考验,值得所有物流相关企业认真对待并积极响应。 。
